值此之际2016 年全球开发者大会iPhone 的创造者展示了一大堆智能新功能,例如 QuickType 中的预测输入或 表情符号建议在消息即时消息中。为了能够提供这些软件改进,苹果公司被迫大量收集用户数据,以便能够识别统计趋势。事实上,它的系统必须能够考虑单词的使用上下文来“理解”其含义,并提出正确的句子完成或正确的表情符号。
然而,苹果不希望被视为个人数据的无法无天的吸尘器。它的信条是尊重隐私,为了维护这一形象,该公司开始实施一项相当新的技术:“差异隐私”。
删除名字还不够
这一数学学科于 2006 年出现,当时研究人员注意到当时匿名技术缺乏有效性。这个问题尤其出现在与某些疾病相关的医学数据库中。医学界希望能够分析这些数据以提取统计信息,而无法识别构成该数据库的人员。仅仅删除名字是不够的,因为我们可以通过与第三方记名数据库交叉核对统计结果来找到个人的踪迹。一些研究人员过去已经证明了这一点,例如通过对健康保险的基础进行去匿名化。
正是为了防止这种类型的攻击,发明了差分隐私。这个想法是通过添加数学噪声(即随机信号)来修改数据处理。这使得个人身份识别变得非常困难。然而,由于它是中立信息,因此可以以不扭曲统计结果的方式对其进行整合。
那么一切都好就结局好吗?并不真地。密码学家 Matthew Green 在一篇博客文章中解释说,这种做法有局限性:我们想要恢复的统计结果越多,我们就必须添加更多的噪音来保护个人数据;但我们添加的噪音越多,这些统计结果就越不可靠;相反,我们添加的噪音越少,个人数据泄露的风险就越大。因此,差别亲密度并不是一个神奇的解决方案,而且很难校准。
矛盾的是,苹果完全可以复制谷歌
苹果将如何实现这一点?目前,这是一个很大的谜团,苹果尚未提供有关此问题的详细信息。尽管如此,马修·格林subodore——基于库比蒂诺巨头软件工程高级副总裁 Craig Federighi 的声明——制造商受到所谓的“随机响应”技术的启发:有时发送的响应是真实的,有时是随机的。 Google 使用这种技术创建了一个名为 RAPPOR 的 Chrome 使用数据收集系统。这混合了随机函数和散列技术,以尽可能匿名化互联网用户接收的数据。
这种差异隐私的实现可以确保 iOS 用户的个人数据受到保护。以这种方式收集的信息不能用于与个人相关的查询,无论是在广告定位还是国家安全局调查中。嗯,至少在理论上是这样。这一切在实践中将如何表现还有待观察。
